Les MdP trop faibles sont devenus une menace majeure, rendant nécessaire l'authentification multifacteur,
D'après le dernier rapport WatchGuard

Le , par Stéphane le calme, Chroniqueur Actualités
WatchGuard Technologies a annoncé les résultats de son Rapport sur la Sécurité Internet pour le second trimestre 2018, qui entre dans le détail des plus récentes menaces de sécurité qui affectent les PME et les entreprises dites distribuées. Ce nouveau rapport réalisé par le WatchGuard Threat Lab révèle que 50% des mots de passe LinkedIn utilisés par des membres du corps militaire et d’agences gouvernementales américaines ont pu être « craqués » en moins de deux jours. Ce résultat, ajouté à l’émergence du malware de vol d’identifiants Minikatz en tant que menace majeure et à la popularité des attaques de login par force brute à destination des applications web, souligne le fait que les mots de passe seuls ne sont plus en mesure d’offrir une sécurité suffisante, et renforce le besoin d’opter pour des solutions d’authentification multifacteur (MFA) dans toutes les organisations.

« L’authentification est le fondement de la sécurité et l’évidence de son importance critique est confirmée par la recrudescence des attaques ciblant les mots de passe et les identifiants tout au long du deuxième trimestre 2018, » déclare Corey Nachreiner, CTO au sein de WatchGuard Technologies. « Qu’ils s’appuient sur un malware de vol d’identifiants ou sur une attaque de login par force brute, les cybercriminels concentrent aujourd’hui leur attention sur le « craquage » de mots de passe pour accéder facilement aux réseaux et aux données sensibles. Ces tendances motivent le développement de nouvelles technologies innovantes au sein de notre gamme de produits, au nombre desquelles compte AuthPoint, notre solution d’authentification multifacteur basée dans le cloud ainsi que notre service IntelligentAV, qui utilise trois moteurs de détection pour identifier les souches de malwares qui contournent les antivirus traditionnels basés sur des signatures. Toutes les entreprises devraient privilégier des éditeurs et des fournisseurs de solutions qui offrent une protection multicouche contre ces techniques d’attaque en constante évolution. »


Les informations, les recherches et les meilleures pratiques en matière de sécurité dévoilées chaque trimestre au sein du Rapport sur la Sécurité Internet de WatchGuard sont conçues pour aider les entreprises de toutes tailles à comprendre l’évolution actuelle des cybermenaces et à mieux s’en protéger ainsi que leurs partenaires et clients. Les principales conclusions du rapport du second trimestre 2018 sont les suivantes :

Environ la moitié des mots de passe utilisés par des membres du corps militaire et d’agences gouvernementales américaines sont trop faibles. Après une analyse attentive des transferts de données LinkedIn en 2012 visant à identifier des tendances sur la robustesse des mots de passe utilisés par ses membres, l’équipe du Threat Lab de WatchGuard a découvert que la moitié des mots de passe associés aux domaines email « .mil » and « .gov » au sein de la base étaient objectivement trop faibles. Parmi les 355 023 mots de passe gouvernementaux et militaires, 178 580 d’entre eux ont été « craqués » sous deux jours. Au nombre des mots de passe les plus couramment utilisés par ces comptes, on retrouve « 123456 », « password » « linkedin », « sunshine », et « 111111 ». L’équipe a également constaté qu’un peu plus de 50% des mots passe associés à des comptes civils étaient trop faibles. Ces résultats illustrent la nécessité pour tous de disposer de mots de passe plus robustes, et l’importance pour les agents gouvernementaux d’instaurer un niveau de sécurité plus élevé dans la mesure où ils détiennent potentiellement des informations sensibles. Toutes les entreprises devraient s’orienter vers des solutions d’authentification multifacteur pour réduire le risque de fuite de données, et mettre en place des sessions de formation et des procédures plus efficaces en matière de mots de passe.


Mimikatz a été le malware le plus fréquemment rencontré au cours du deuxième trimestre. Représentant 27,2% des 10 principaux malwares enregistrés lors de ce trimestre, Mimikatz est un malware bien connu de vol de mots de passe et d’identifiants ; populaire depuis quelques trimestres, il n’avait jamais jusqu’ici occupé la première place. Cet engouement pour Mimikatz suggère que les attaques ciblant l’authentification et les vols d’identifiants figurent toujours parmi les priorités des cybercriminels – un indicateur supplémentaire attestant que les seuls mots de passe ne sont plus une mesure de sécurité suffisante et qu’ils devraient être complétés par des services d’authentification multifacteur pour pouvoir s’ériger en barrage efficace contre les pirates.

Plus de 75% des attaques de malwares sont délivrées via le web. Au total, 76% des menaces au cours du deuxième trimestre ont été véhiculées via le web, ce qui suggère que les entreprises ont besoin de mettre en place des mécanismes d’inspection HTTP et HTTPS pour prévenir la vaste majorité des attaques. Classé quatrième parmi les attaques les plus fréquentes, « WEB Brute Force Login -1.1021 » permet à des attaquants de générer un déluge massif de tentatives de connexion à destination des applications web en exploitant en peu de temps un nombre infini de combinaisons aléatoires pour craquer des mots de passe. Cette attaque en particulier est un nouvel exemple de l’intérêt accru que les cybercriminels portent aux vols d’identifiants, et montre l’importance de mettre en place non seulement des mots de passe complexes, mais également des solutions multifacteur en tant que mesure préventive efficace.

Les mineurs de cryptomonnaie rentrent dans le Top 10 des malwares. Comme anticipé au trimestre précédent, les cryptomineurs malicieux connaissent une popularité croissante en tant que tactique d’attaque, et font leur entrée dans le Top 10 des malwares listés par WatchGuard au deuxième trimestre. Au cours de ce trimestre, Cryptominer.AY fait figure de cryptomineur numéro 1 ; il correspond à un cryptomineur JavaScript appelé « Coinhive » qui utilise les ressources de l’ordinateur de ses victimes pour miner la cryptomonnaie populaire Monero (XRM). Les données montrent que les Etats-Unis ont été la principale victime-cible de ce cryptomineur, recueillant environ 75% du volume total des attaques.


Les cybercriminels continuent de s’appuyer sur des documents Office malicieux. Les acteurs de menaces continuent de piéger des documents Office, en exploitant d’anciennes vulnérabilités de la suite Microsoft pour abuser leurs victimes. Résultat intéressant, trois nouveaux malwares Office sont rentrés dans le Top 10 du rapport WatchGuard, et 75% des attaques réalisées par ces malwares ont ciblé la zone EMEA et tout particulièrement l’Allemagne.

Source : rapport (au format PDF)

Voir aussi :

Thunderbird 60.0 : le client de messagerie libre fait peau neuve avec le design Photon de Firefox, et supporte la norme d'authentification FIDO U2F
npm : l'authentification à deux facteurs rendue obligatoire en bêta pour les mainteneurs sur les paquets indiqués comme protégés
Microsoft va imposer l'authentification multifacteurs sur les comptes admin d'Azure AD pour réduire le risque quand un mot de passe est compromis
Le W3C publie une nouvelle norme d'authentification, qui permet de se connecter de manière sécurisée aux applications Web sans saisir de mots de passe
Quelles sont les règles à suivre pour concevoir un bon système d'authentification ? Un architecte de Google propose une liste de 12 bonnes pratiques


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de transgohan transgohan - Expert éminent https://www.developpez.com
le 18/09/2018 à 15:49
On peut dès maintenant lancer le licenciement de tous les Charlie, Hannah, Summer, Maggie et Daniel, ainsi que de toutes les personnes ayant un enfant ou une femme avec ce prénom, dans les services américains dans ce cas.

Quoi ? Mais non qu'allez vous penser... C'est pour la sécurité de l'Etat voyons !
Avatar de marsupial marsupial - Membre émérite https://www.developpez.com
le 18/09/2018 à 15:51
La solution authentification matérielle (clé usb, carte à puce,... ) + mot de passe devient ultime lorsqu'on voit les mdp utilisés. En plus cela guérit du phishing !

Sinon, voir que 2 tiers des malwares reposent sur des failles connues, je me dis qu'il reste du travail côté administration...
Avatar de tanaka59 tanaka59 - Membre éprouvé https://www.developpez.com
le 18/09/2018 à 17:23
Mettre une authentification à deux facteurs me fait doucement tousser ... hum , hum , hum .

Vous êtes malade , vous avez un invalidité , vous venez à décédé ... le système nominatif à deux facteurs va empêcher vos ayant droits ou héritiers de pouvoir entamer des démarches administratives !

A deux reprise cette année dans mon entourage j'ai eu echo de personnes âgées décédées , c'est le boxon pour faire les démarches avec les divers administrations , énergies , télécoms ... Les relances papiers suite à des comptes bloqués ...

Ne parlons pas des adresses mails ou numéros de téléphones bloqués pendant ce type de démarches , avec les changements nominatifs ou les risques de résiliations .

Un système de "personnes de confiances" , ainsi que qu'un notaire ou un avocat devrait pouvoir accès à certains services , certes même de manière limité ou dégradé .

Une technique "simple" pour du double facteur, pour des sites commerciaux ou non officiels c'est changer le mot de passes à chaque connexion ... Genre sur Amazon , ou Auchan ou SNCF > 1 connexion = 1 mot de passe . Aujourd'hui "porque-pic " demain "troubadour" ...
Avatar de Neckara Neckara - Expert éminent sénior https://www.developpez.com
le 19/09/2018 à 7:04
Ou tout simplement utiliser un gestionnaire de mots de passes.
Avatar de vanquish vanquish - Membre éprouvé https://www.developpez.com
le 19/09/2018 à 9:22
Citation Envoyé par transgohan Voir le message
On peut dès maintenant lancer le licenciement de tous les Charlie, Hannah, Summer, Maggie et Daniel,...
Ou virer les informaticiens qui ont permis la saisie de ce type de mot de passe.
"123456" et autres mot de passe de 6 caractères ; sans dec' !

Qu'un utilisateur ne soit pas bien conscient des problèmes de sécurité informatique, on peut comprendre.
C'est moins pardonnable pour un gars dont c'est le boulot.
Avatar de zecreator zecreator - Membre chevronné https://www.developpez.com
le 19/09/2018 à 9:34
Citation Envoyé par vanquish Voir le message
Ou virer les informaticiens qui ont permis la saisie de ce type de mot de passe.
"123456" et autres mot de passe de 6 caractères ; sans dec' !

Qu'un utilisateur ne soit pas bien conscient des problèmes de sécurité informatique, on peut comprendre.
C'est moins pardonnable pour un gars dont c'est le boulot.
Je suis d'accord, mais c'est à double tranchant. Si les mots de passe sont trop faibles, les développeurs croulent sous les intrusions. Si les mots passe sont trop complexes, ils croulent sous les demandes de "mot de passe perdu".
En fait, il faudrait inventer un autre moyen de s'identifier, le mot de passe, on va pas se mentir, ça emmerde tout le monde.

"Ta vie est un mot de passe".
Avatar de zecreator zecreator - Membre chevronné https://www.developpez.com
le 19/09/2018 à 9:35
Citation Envoyé par Neckara Voir le message
Ou tout simplement utiliser un gestionnaire de mots de passes.
Une boite, accessible par n'importe quel hacker, et qui lui donne accès à toute ta vie. Bof!
Avatar de zecreator zecreator - Membre chevronné https://www.developpez.com
le 19/09/2018 à 9:43
On peut imaginer qu'à chaque connexion, un code unique à 4 ou 5 chiffres soit envoyé par SMS ou email à l'utilisateur. Que ce code doit être renseigné pour ce connecté, et qu'après 3 échecs, le compte est bloqué pour 1h, 3h, 12h, 24h...

Bien sûr, ça va faire râler l'utilisateur, mais au moins si son mot de passe se fait voler, le hacker ne pourra pas aller plus loin...
Avatar de Rokhn Rokhn - Membre actif https://www.developpez.com
le 19/09/2018 à 9:47
Citation Envoyé par zecreator Voir le message
Une boite, accessible par n'importe quel hacker, et qui lui donne accès à toute ta vie. Bof!
Hein ?! J'comprends pas ? Si ton PC n'est pas infecté, que la clé du KeePass est forte & que tu t'amuses pas à l'upload sur GitHub, y'a peu de chance de te faire chourer tes mots de passes qui se trouvent à l'intérieur.

Alors oui une Z-day sur le chiffrement du fichier de KeePass pourra potentiellement faire des ravages, mais si l'accès à ton PC n'est pas compromis, je vois pas le problème en fait.
Et on pourra dire tout ce qu'on veut, c'est bien mieux qu'un excel ou un mot de passe universel
Avatar de zecreator zecreator - Membre chevronné https://www.developpez.com
le 19/09/2018 à 9:55
Citation Envoyé par Rokhn Voir le message
mais si l'accès à ton PC n'est pas compromis
70% des PC des utilisateurs sont compromis, à cause de malwares téléchargés en masse (tiens, un crack pour Photoshop, cool !).
Contacter le responsable de la rubrique Accueil